潜在影响
使用通过远程访问的 CHAP 身份验证协议或 IAS 服务。IIS 中的摘要式身份验证要求将此值设置为“禁用”。将使用组策略逐个应用到每位用户是一种极其危险的设置,因为它要求在 Active Directory 用户和计算机管理控制台中打开适当的用户帐户对象。
警告:请永远不要启用此设置,除非业务要求比保护密码信息更为重要。
帐户锁定策略
试图登录到系统时多次不成功的密码尝试可能表示攻击者正在以试错法来确定帐户密码。Windows Server 2003 跟踪登录尝试,而且可以将操作系统配置为通过在预设时间段内禁用帐户来响应这种潜在攻击。随本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”(英文)为默认设置编制了文档。
可以在组策略对象编辑器的以下位置配置帐户锁定策略设置:
计算机配置\Windows 设置\安全设置\帐户策略\帐户锁定策略
帐户锁定时间
“帐户锁定时间”设置确定在自动解锁之前锁定帐户保持锁定状态的时间。可用范围为从 1 到 99,999 分钟。通过将该值设定为“0”,可以指定在管理员明确解锁之前锁定帐户。如果定义了帐户锁定阀值,帐户锁定时间必须大于或等于复位时间。
此组策略设置可能的值是:
• 用户定义的值,在 0 至 99,999 分钟之间
• 没有定义
漏洞
如果攻击者滥用“帐户锁定阀值”并反复尝试登录到帐户,则可能产生拒绝服务 (DoS) 攻击。如果配置“帐户锁定阀值”,在失败尝试达到指定次数之后将锁定帐户。如果“帐户锁定时间”设置为 0,则在管理员手动解锁前帐户将保持锁定状态。
对策
将“帐户锁定时间”设置为“30 分钟”。要指定该帐户永不锁定,请将该值设置为“0”。
潜在影响
将此设置的值配置为永不自动解锁可能看上去是一个好主意,但这样做会增加组织支持专家收到的要求解锁意外锁定帐户的请求的数目。
帐户锁定阈值
“帐户锁定阀值”确定导致用户帐户锁定的登录尝试失败的次数。在管理员复位或帐户锁定时间到期之前,不能使用已锁定的帐户。可以将登录尝试失败的次数设置在 1 至 999 之间,或者通过将该值设置为“0”,使帐户永不锁定。如果定义了帐户锁定阀值,帐户锁定时间必须大于或等于复位时间。
在使用 Ctrl+Alt+Delete 或受密码保护的屏幕保护程序进行锁定的工作站或成员服务器上的失败密码尝试,将不作为失败的登录尝试来计数,除非启用了组策略“交互式登录:要求域控制器身份验证以解锁工作站”。如果启用了“交互式登录:要求域控制器身份验证以解锁工作站”,则因解锁工作站而重复的失败密码尝试次数将被计入“帐户锁定阀值”。
此组策略设置可能的值是:
• 用户指定的值,在 0 至 999 之间
• 没有定义
漏洞
密码攻击可能利用自动化的方法,对任何或所有用户帐户尝试数千甚至数百万种密码组合。限制可以执行的失败登录次数几乎消除了这种攻击的有效性。
但是,请务必注意,可能在配置了帐户锁定阀值的域上执行 DoS 攻击。恶意攻击者可编制程序来尝试对组织中的所有用户进行一系列密码攻击。如果尝试次数大于帐户锁定阀值,则攻击者有可能锁定每一个帐户。
对策
由于配置此值或不配置此值时都存在漏洞,因此要定义两种不同的对策。任何组织都应该根据识别的威胁和正在尝试降低的风险来在两者之间进行权衡。有两个选项可用于此设置。
• 将“帐户锁定阀值”设置为“0”。这可确保帐户永不锁定。此设置可防止故意锁定全部或一些特定帐户的 DoS 攻击。另外,此设置还有助于减少帮助台的呼叫次数,因为用户不会将自己意外地锁定在帐户外。
由于它不能阻止暴力攻击,因此只有在下列要求均得到明确满足时才可以选择此设置:
• 密码策略强制所有用户使用由 8 个或更多字符组成的复杂密码。
• 强健的审核机制已经就位,可以在组织环境中发生一系列失败登录时提醒管理员。
• 如果不满足上述要求,请将“帐户锁定阀值”设置为足够高的值,以便用户能够在意外地错误输入几次密码时不会锁定自己的帐户,但可确保暴力密码攻击仍然会锁定帐户。在这种情况下,将该值设置为 50 次无效登录尝试是一个不错的建议。如上所述,此设置可以避免意外的帐户锁定,从而降低了帮助台的呼叫次数,但不能防止 DoS 攻击。
Windows网络安全指南 域级别策略设置技巧集
0
相关文章
关注我们
